apache安全设置
2009-05-14 12:01
375 查看
[align=center]apache安全设置[/align]
[align=left] 以apache2.0.54为例:[/align]
[align=left]第一种方法安装最新的apache版本,可能会遇到与其它桥接软件不兼容情况,比如apache2.2.11 与 weblogic 8.x不兼容[/align]
[align=left]第二种方法是安装补丁或者手工修改漏洞[/align]
[align=left] [/align]
[align=left]漏洞手工修改
1 Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
查看httpd.conf配置文件,会在里面发现下列注释语句,将前面的注释符号#删掉即可,后面跟的一串是一个链接,当然也可以自己想在页面上显示的文字:
# ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var[/align]
[align=left] [/align]
[align=left]可以改为:
ErrorDocument 413 "Sorry,Error Page"[/align]
[align=left] [/align]
[align=left]2 远端WWW服务支持TRACE请求
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F][/align]
[align=left] [/align]
[align=left]3 修改httpd.conf配置文件
将“ServerTokens Full”改为“ServerTokens Prod”;
将“ServerSignature On”改为“ServerSignature Off”,
然后存盘退出[/align]
[align=left] [/align]
[align=left]APACHE防范DOS攻击。
其防范软件主要为apache dos evasive maneuvers module来实现,替代 mod_access.
自动统计TCP连接的数量:
netstat -an | grep -i "服务器IP:80" |awk '{print $6}' | sort | uniq -c | sort -n
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/tcp_syn_retries
echo "1" >/proc/sys/net/ipv4/tcp_synack_retries
增大syn_backlog数量:
ech0 "2048" >/proc/sys/net/ipv4/tcp_max_syn_backlog [/align]
[align=left] [/align]
[align=left]apache 补丁安装如下
补丁下载地址:
http://www.apache.org/dist/httpd/patches/
对应同版本的apache的补丁
我这里以apache 2.0.63 的proxy 漏洞处理
下载补丁文件 CVE-2008-2364-patch
解压apache 2.0.63,然后将补丁复制到软件根目录下,
执行 patch -p0 < CVE-2008-2364-patch
如果你想确定补丁是否打了,可以查看打补丁前proxy_http.c大小和补丁后大小对比(httpd-2.0.63/modules/proxy)
然后重新编译,安装。[/align]
[align=left] [/align]
[align=left] [/align]
[align=left] [/align]本文出自 “zhaoyong” 博客,请务必保留此出处http://zhaoyong.blog.51cto.com/61971/157788
[align=left] 以apache2.0.54为例:[/align]
[align=left]第一种方法安装最新的apache版本,可能会遇到与其它桥接软件不兼容情况,比如apache2.2.11 与 weblogic 8.x不兼容[/align]
[align=left]第二种方法是安装补丁或者手工修改漏洞[/align]
[align=left] [/align]
[align=left]漏洞手工修改
1 Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
查看httpd.conf配置文件,会在里面发现下列注释语句,将前面的注释符号#删掉即可,后面跟的一串是一个链接,当然也可以自己想在页面上显示的文字:
# ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var[/align]
[align=left] [/align]
[align=left]可以改为:
ErrorDocument 413 "Sorry,Error Page"[/align]
[align=left] [/align]
[align=left]2 远端WWW服务支持TRACE请求
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F][/align]
[align=left] [/align]
[align=left]3 修改httpd.conf配置文件
将“ServerTokens Full”改为“ServerTokens Prod”;
将“ServerSignature On”改为“ServerSignature Off”,
然后存盘退出[/align]
[align=left] [/align]
[align=left]APACHE防范DOS攻击。
其防范软件主要为apache dos evasive maneuvers module来实现,替代 mod_access.
自动统计TCP连接的数量:
netstat -an | grep -i "服务器IP:80" |awk '{print $6}' | sort | uniq -c | sort -n
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/tcp_syn_retries
echo "1" >/proc/sys/net/ipv4/tcp_synack_retries
增大syn_backlog数量:
ech0 "2048" >/proc/sys/net/ipv4/tcp_max_syn_backlog [/align]
[align=left] [/align]
[align=left]apache 补丁安装如下
补丁下载地址:
http://www.apache.org/dist/httpd/patches/
对应同版本的apache的补丁
我这里以apache 2.0.63 的proxy 漏洞处理
下载补丁文件 CVE-2008-2364-patch
解压apache 2.0.63,然后将补丁复制到软件根目录下,
执行 patch -p0 < CVE-2008-2364-patch
如果你想确定补丁是否打了,可以查看打补丁前proxy_http.c大小和补丁后大小对比(httpd-2.0.63/modules/proxy)
然后重新编译,安装。[/align]
[align=left] [/align]
[align=left] [/align]
[align=left] [/align]本文出自 “zhaoyong” 博客,请务必保留此出处http://zhaoyong.blog.51cto.com/61971/157788
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- apache在windows2003下的安全设置(配合文件夹权限目录,很好很安全)
- CentOS下Apache 2.x的安装、优化及安全设置(二)
- apache 安全设置
- Windows下Apache应用环境塔建安全设置(目录权限设置)
- Apache安全设置
- Linux下的Apache和PHP安全设置
- Linux Apache Web 服务器安全设置
- CentOS下Apache 2.x的安装、优化及安全设置(三)
- apache 安全设置
- Linux下Apache与PHP安全相关设置
- apache的安全设置
- Windows下Apache应用环境塔建安全设置(目录权限设置)
- apache 安全设置
- 第十章apache的安全设置
- Apache PHP的安全设置
- apache在win2003下的安全设置(配合文件夹权限目录,很好很安全)
- Apache的一些安全设置
- Apache相关安全设置
- apache在windows2003下的安全设置
- Apache安全设置